Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

PPPoE 订阅者会话锁定概述

PPPoE 订阅者会话锁定,也称为 PPPoE 封装类型锁定,可以临时阻止(锁定)失败或短周期的静态或动态 PPPoE 订阅者会话在一定时间内重新连接。此时间段(称为 锁定期)源自公式,并会根据连续重新连接失败的次数呈指数级增加。

您可以为 VLAN、VLAN 多路分离(多路分离)和 PPP-over-Ethernet-over-ATM (PPPoE-over-ATM) 动态用户接口配置 PPPoE 订阅者会话锁定,也称为 短周期保护

本概述介绍了配置 PPPoE 订阅者会话锁定时需要了解的概念,并介绍了以下主题:

使用 PPPoE 订阅者会话锁定的优势

PPPoE 订阅者会话锁定提供以下优势:

  • 通过以下方式减少路由器上的过度负载:

    • 减少处理 PPPoE 控制数据包所需的资源,以协商和终止短期连接

    • 减少为失败或短期订阅者会话分配和解除分配服务(例如 服务等级 (CoS) 和防火墙过滤器)所需的资源

    • 暂时推迟失败的或短暂的订阅者会话,转而推迟能够成功完成的会话。

  • 减少外部身份验证、授权和计费 (AAA) 服务器上的过度负载,例如 RADIUS 或 Diameter:

    • 由于为同一订阅者重复发生的 PPPoE 订阅者会话失败或短时间

    • 减少身份验证和终止这些连接所需的资源

  • 可在不中断同一 PPPoE 底层接口上其他 PPP 会话的情况下锁定单个失败的或短暂的 PPP 会话

    由于 PPPoE 订阅者会话锁定会通过底层接口上的唯一媒体访问控制 (MAC) 源地址或其代理电路标识符 (ACI) 值来识别每个订阅者会话,因此路由器只能锁定有问题的 PPP 会话,同时使同一底层接口上的其他 PPP 会话能够成功协商连接。

导致 PPPoE 订阅者会话短期的情况

可能导致订阅者会话缩短的情况包括:

  • 由于 RADIUS 数据库中缺少相应条目或登录尝试不当,外部 AAA 服务器(例如 RADIUS)拒绝身份验证

  • 动态配置文件或 RADIUS 记录中的配置错误

  • 内存资源不足,无法创建动态 PPPoE 用户接口

  • 动态 PPPoE 用户接口内的协议故障或错误

  • 登录成功后不久客户端退出;在关闭接口之前,此操作会创建一个完整的动态 PPPoE 用户接口

PPPoE 订阅者会话锁定的工作原理

路由器上默认禁用 PPPoE 订阅者会话锁定。启用 PPPoE 订阅者会话锁定后,路由器将请执行以下操作:

  1. 检测短周期订阅者会话,也称为 短周期事件

    路由器将在 150 秒内检测到、部分或完全创建并终止短生存期订阅者会话。路由器会根据 PPPoE 底层接口上的唯一 MAC 源地址或其 ACI 值来识别每个 PPPoE 订阅者会话。

  2. 跟踪重复的短周期事件之间的时间,以确定是否增加后续短周期事件的锁定时间。

  3. 根据默认或配置的锁定期以及同一订阅者重复发生的连续短周期事件的数量,对每个短周期事件应用时间处罚。

  4. 通过阻止连接到路由器,临时锁定指定的 PPPoE 订阅者。

    锁定期间,路由器会丢弃 PPPoE 订阅者会话的协商数据包,直到锁定期到期。锁定期到期后,PPPoE 订阅者会话及其关联的 MAC 源地址或 ACI 值会恢复连接的正常协商。

基于 ACI 的接口上的 PPPoE 订阅者会话锁定

默认情况下,路由器使用 PPPoE 底层接口上的唯一 MAC 源地址识别订阅者会话。您可以根据底层接口的 ACI 字符串配置订阅者会话锁定,以便锁定同一家庭中的所有 PPPoE 订阅者会话。

ACI 字符串包含在 DSL 论坛代理电路 ID VSA [26-1] (选项 0x105) PPPoE 主动发现初始化 (PADI) 和 PPPoE 主动发现请求 (PADR) 控制数据包中。此选项可锁定在其 PPPoE PADI 和 PADR 控制数据包中共享相同 ACI 字符串的底层接口上的所有 PPPoE 订阅者会话。

当 MAC 源地址在 PPPoE 底层接口上不唯一时,基于 ACI 值的 PPPoE 订阅者会话锁定很有用。例如:

  • PPPoE 互连功能会话,其中所有 PPPoE 工作间功能会话的 MAC 地址都包含 DSLAM 设备的 MAC 地址

  • 出于安全目的,接入节点(通常是 DSLAM 设备)使用自己的 MAC 地址覆盖从客户端设备 (CPE) 收到的 PPPoE 数据包中的 MAC 源地址

  • 在 N:1(服务 VLAN) 配置中跨不同家庭的重复 MAC 源地址,这要求路由器结合使用 MAC 源地址和 ACI 值来唯一标识订阅者

PPPoE 订阅者会话锁定和重复保护

当具有相同媒体访问控制 (MAC) 地址的 PPPoE 订阅者会话已在该接口上激活时,默认在路由器上禁用的重复保护可防止在同一 PPPoE 底层接口上激活另一个 PPPoE 订阅者会话。配置 PPPoE 订阅者会话锁定时,建议启用重复保护,以确保每个活动 PPPoE 会话的 MAC 源地址在底层接口上都是唯一的。

配置 PPPoE 订阅者会话锁定后,路由器会通过其唯一的 MAC 源地址识别订阅者会话。如果路由器检测到短周期(短周期)订阅者会话,则会对该 MAC 源地址应用默认或配置的锁定期,以暂时阻止重新连接。如果 MAC 源地址在底层接口上不是唯一的,则具有相同 MAC 源地址的多个 PPPoE 订阅者会话也可能受到锁定的影响。

自动移除动态订阅者 VLAN 后锁定条件的持久性

您可以通过在层次结构级别发出 remove-when-no-subscribers 语句来配置自动移除没有 PPPoE 客户端会话的 [edit interfaces interface-name auto-configure] 订阅者 VLAN。如果接口上也配置了 PPPoE 订阅者会话锁定,则即使路由器移除了动态 VLAN 或 VLAN 多路分置订阅者接口,锁定情况也会持续存在。

配置 PPPoE 订阅者会话锁定和自动删除无客户端会话的订阅者 VLAN 时,受影响订阅者会话的锁定条件将持续到底层接口上处于锁定状态的每个 PPPoE 客户端的锁定计时器到期。如果在所有计时器到期之前再次创建 VLAN 或 VLAN 多路分路复用用户接口,则新创建的订阅者接口的锁定条件将持续存在。

使用封装类型标识符清除或显示锁定条件

通过在或命令中分别指定 VLAN 或 ATM 封装类型标识符选项,您可以清除特定 MAC 源地址或 ACI 值、所有 MAC 源地址或 ACI 值,或者与基于 UNIX 的正则表达式匹配的 clear pppoe lockout vlan-identifier clear pppoe lockout atm-identifier ACI 值锁定条件。同样,您可以通过在或show pppoe lockout atm-identifier命令中包含封装类型标识符选项show pppoe lockout vlan-identifier来显示有关锁定条件和受影响订阅者会话状态的信息。如果指定封装类型的锁定标识符,当订阅者会话不存在底层接口时,您可以清除或显示锁定条件。

对于 VLAN 和 VLAN 多路分离用户接口上的 VLAN 封装类型,标识符选项包括:

  • 设备名称(物理接口或聚合以太网束)

  • S-VLAN ID(外部标记)

  • VLAN ID(内部标记)

对于 PPPoE-over-ATM 用户接口上的 ATM 封装类型,标识符选项包括:

  • 设备名称(物理接口或聚合以太网束)

  • 虚拟路径标识符 (VPI)

  • 虚拟电路标识符 (VCI)

锁定条件终止

当由 ACI 值或唯一 MAC 源地址标识的 PPPoE 订阅者会话处于锁定状态时,锁定条件将持续到所有锁定计时器都过期, 除非 发生以下任一情况:

  • 您可以通过发出 clear pppoe lockout 操作命令,以管理方式清除锁定条件。

  • 重置配置订阅者会话锁定的接口模块。

清除锁定条件或重置接口模块时,路由器将终止底层接口上所有 PPPoE 订阅者会话的锁定,并清除所有受影响的订阅者会话的锁定历史记录。

相关文档